Ejecución (Táctica MITRE)
¿Qué es Ejecución (Táctica MITRE)?
Ejecución (Táctica MITRE)Táctica MITRE ATT&CK (TA0002) que reúne las técnicas con las que el adversario consigue ejecutar su código en un sistema local o remoto.
Ejecución (táctica MITRE ATT&CK TA0002) describe el momento en que el código del adversario realmente se ejecuta en la víctima. Incluye intérpretes como PowerShell, JavaScript, Python o shell; ejecución por el usuario de adjuntos o accesos directos; binarios nativos como rundll32 y msbuild usados para living-off-the-land; tareas programadas y creación de servicios; y mecanismos de comunicación entre procesos. Muchos atacantes encadenan Ejecución para consolidar su acceso tras la fase inicial, combinándola a menudo con Evasión de Defensas para esquivar antivirus y EDR. Los defensores se apoyan en telemetría de creación de procesos (Sysmon EID 1, EDR), auditoría de líneas de comandos, listas blancas de aplicaciones, AMSI y modos de lenguaje restringido.
● Ejemplos
- 01
Una macro lanza PowerShell para descargar y ejecutar un beacon de Cobalt Strike.
- 02
Abusar de rundll32.exe para cargar una DLL maliciosa desde un directorio escribible.
● Preguntas frecuentes
¿Qué es Ejecución (Táctica MITRE)?
Táctica MITRE ATT&CK (TA0002) que reúne las técnicas con las que el adversario consigue ejecutar su código en un sistema local o remoto. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Ejecución (Táctica MITRE)?
Táctica MITRE ATT&CK (TA0002) que reúne las técnicas con las que el adversario consigue ejecutar su código en un sistema local o remoto.
¿Cómo funciona Ejecución (Táctica MITRE)?
Ejecución (táctica MITRE ATT&CK TA0002) describe el momento en que el código del adversario realmente se ejecuta en la víctima. Incluye intérpretes como PowerShell, JavaScript, Python o shell; ejecución por el usuario de adjuntos o accesos directos; binarios nativos como rundll32 y msbuild usados para living-off-the-land; tareas programadas y creación de servicios; y mecanismos de comunicación entre procesos. Muchos atacantes encadenan Ejecución para consolidar su acceso tras la fase inicial, combinándola a menudo con Evasión de Defensas para esquivar antivirus y EDR. Los defensores se apoyan en telemetría de creación de procesos (Sysmon EID 1, EDR), auditoría de líneas de comandos, listas blancas de aplicaciones, AMSI y modos de lenguaje restringido.
¿Cómo defenderse de Ejecución (Táctica MITRE)?
Las defensas contra Ejecución (Táctica MITRE) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Ejecución (Táctica MITRE)?
Nombres alternativos comunes: Táctica de ejecución, TA0002.
● Términos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- defense-ops№ 535
Acceso Inicial
Táctica de MITRE ATT&CK (TA0001) que agrupa las técnicas con las que un atacante consigue su primer punto de apoyo dentro del entorno objetivo.
- defense-ops№ 817
Persistencia
Táctica MITRE ATT&CK (TA0003) que agrupa las técnicas con las que un atacante mantiene el acceso al sistema tras reinicios, cambios de credenciales y respuesta a incidentes.
- defense-ops№ 298
Evasión de Defensas
Táctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad.
- defense-ops№ 265
Cyber Kill Chain
Modelo de siete fases de Lockheed Martin que describe cómo progresa una intrusión dirigida desde el reconocimiento hasta las acciones sobre los objetivos.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.